Реклама

RawLaunch

Платформа для быстрого запуска MVP и пет-проектов.

Reynolds - шифровальщик, встраивающий уязвимый драйвер прямо в свой код

Владимир ИТ

10.02.2026

62 1 мин
#vulnerability #ransomware

Киберисследователи обнаружили новую разновидность ransоmwаrе-вредоносного ПО под названием Reynolds, которая встроила внутри себя механизм обхода защиты через так называемый BYOVD-драйвер (Bring Your Own Vulnerable Driver). Впервые эта хитрая техника реализована не как отдельный модуль, а прямо в самом теле шифровальщика.

Что такое BYOVD и зачем он нужен

Техника BYOVD подразумевает использование легитимного, но уязвимого драйвера Windows для получения привилегий ядра и выключения защитных сервисов. Такие драйверы подписаны цифровой подписью, но содержат дыры, которые позволяют злоумышленникам выполнять опасные действия, например завершать процессы защитного ПО.

Раньше в атаках BYOVD-компонент запускался отдельно перед основным шифровальщиком. В случае с Reynolds этот компонент идёт внутри одного файла с вредоносом что делает атаку тише и сложнее обнаруживаемой.

Как именно работает атака Reynolds

В атаке Reynolds обнаружен внедрённый драйвер NsecSoft NSecKrnl, который содержит известную уязвимость CVE-2025-68947 (оценка опасности 5,7 по CVSS). Этот драйвер используется, чтобы:

  • эскалировать привилегии до уровня ядра;

  • завершать процессы программ защиты;

  • отключать Endpoint Detection and Response (EDR) решения.

Среди программ, которые целит Reynolds, упоминаются продукты от Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos и Symantec Endpoint Protection.

Особо примечательно, что этот уязвимый драйвер уже использовался в прошлых атаках группой Silver Fox для выключения защитных решений перед запуском другого зловреда (ValleyRAT).

Почему это может быть опасно

  • Интеграция BYOVD прямо в ransomware снижает количество шумных действий.

  • Нет отдельного этапа, когда защитное ПО может заметить и остановить драйвер до запуска шифровальщика.

  • Техника позволяет злоумышленникам работать с высокой степенью приватности и избегать традиционных механизмов обнаружения.

По словам аналитиков, объединение обхода защиты и самого шифровальщика может облегчить работу злоумышленникам и сделать такие атаки более привлекательными для групп-разработчиков ransomware.

Рекомендации по защите

Cпециалисты по безопасности советуют:

  • следить за обновлениями драйверов и операционной системы;

  • внедрять механизмы блокировки подозрительных драйверов;

  • применять защитные слои, которые могут обнаружить попытки загрузить или использовать уязвимые компоненты;

  • использовать поведенческий анализ, а не только сигнатурные методы обнаружения.

Источник: HN

0

Комментарии (0)

Войдите, чтобы оставить комментарий

Похожие статьи

Кибербезопасность 3 месяца назад

Зловред NANOREMOTE использует API Google Drive для скрытого управления Windows

NANOREMOTE - новый бэкдор для Windows, который маскирует связь с операторами под обычную работу Google Drive. Вредонос умеет выполнять команды, управлять файлами и передавать данные через облачный API, что делает его почти незаметным для систем безопасности.

Владимир ИТ
89 0 1 мин
Кибербезопасность 2 месяца назад

Отсутствие MFA - главная причина взломов облачный сервисов

Почему отсутствие многофакторной аутентификации остаётся основной причиной кражи облачных учётных данных и как это приводит к масштабным инцидентам безопасности.

Владимир ИТ
73 0 1 мин
#vulnerability #cloud services
Кибербезопасность 1 месяц назад

Хакеры используют уязвимость Metro4Shell для удалённого выполнения кода в React Native

Критическая уязвимость Metro4Shell в React Native, которую уже активно используют хакеры для удалённого выполнения кода. Рассматриваются механизм атаки, реальные примеры эксплуатации и меры защиты для разработчиков.

Владимир ИТ
83 0 1 мин
#vulnerability #react